Содержание к диссертации
Введение
1. Методы оценки рисков несанкционированного доступа 7
1.1. Методы оценки рисков несанкционированного доступа 7
1.1.1. Метод CRAMM 7
1.1.2. Метод RiskWatch 9
1.1.3. Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак и оценки рисков 11
1.1.4. Метод Гриф 23
1.1.5. Метод, используемый в Microsoft Security Assessment Tool 24
1.2. Оценка надежности систем защиты информации 28
1.3. Субъектно-объектная модель компьютерной системы 34
2. Оценка рисков несанкционированного доступа в рамках модели Take-Grant 37
2.1. Модель дискреционного разграничения доступа Take-Grant 37
2.2. Стоимость доступа в рамках модели Take-Grant 44
2.3. Метрическая связность вершин графа 46
2.4. Модель оценки рисков несанкционированного доступав рамках модели Take-Grant 52
3. Модель оценки рисков утечки информации на основе расширенной модели Take-Grant 57
3.1. Расширенная модель Take-Grant 57
3.2. Модель оценки рисков утечки информации на основе дополненной расширенной модели Take-Grant 60
4. Программная реализация алгоритма для оценки риска утечки информации 68
4.1. Описание интерфейса работы программного комплекса 68
4.2. Описание работы алгоритма для расчета риска утечки информации на примере 69
4.2.1. Первый этап 70
4.2.2. Второй этап 70
4.2.3. Третий этап 73
4.2.4. Четвертый этап 75
4.2.5. Пятый этап 76
4.2.6. Шестой этап 77
4.2.7. Седьмой этап 78
4.2.8. Восьмой этап 82
4.3. Интерпретация полученных результатов 83
4.4. Выводы 84
Заключение 85
Литература 86
- Оценка надежности систем защиты информации
- Стоимость доступа в рамках модели Take-Grant
- Модель оценки рисков утечки информации на основе дополненной расширенной модели Take-Grant
- Описание работы алгоритма для расчета риска утечки информации на примере
Введение к работе
Актуальность проблемы
Одной из важных составляющих информационной безопасности компьютерных систем является оценка рисков несанкционированного доступа. При оценке рисков принято основываться на предполагаемом ущербе от возможной реализации угрозы. При этом для каждой системы необходимо строить свою модель угроз, которая зависит от видов атак, актуальных для заданного типа обрабатываемой информации. Наиболее информативной является численная оценка возможности реализации угрозы, позволяющая не только принять решение о необходимости внедрения средств защиты информации, но и выбрать оптимальный вариант системы защиты, как по цене, так и по возможностям.
На сегодняшний день наибольшее распространение получили два подхода количественной оценки риска реализации угрозы. Первый подход связан с введением стоимости ущерба, нанесенного атакой. В случае несанкционированного доступа оценивается стоимость потерянной информации, либо ущерб от разглашения информации. При таком подходе приходится вводить методику оценки стоимости информации, на которую нацелена атака. Кроме того, приходится решать сложную задачу по определению вероятности реализации угрозы.
Второй подход связан с методом экспертных оценок. Данный подход содержит существенную субъективную составляющую. Метод экспертных оценок подразумевает привлечение группы экспертов, каждый из которых выставляет оценку угрозы исходя из собственного опыта. Финальная оценка формируется из оценок участников экспертной группы с учетом уровня доверия каждого эксперта.
Оба подхода имеют два существенных недостатка, которые приводят к трудностям в их реализации. Во-первых, оба метода подразумевают участие экспертов для оценки либо самой угрозы, либо стоимости ущерба. Во-вторых, оба метода основываются на большом количестве параметров, что существенно снижает ценность полученных результатов.
Одной из трех составляющих информационной безопасности является конфиденциальность информации. Угрозу конфиденциальности составляет несанкционированный доступ. Существует ряд математических моделей для проверки возможности осуществления несанкционированного доступа. К таким моделям можно отнести HRU и Take-Grant. В обеих этих моделях предполагается
получение ответа о возможности доступа, но не проводится оценка его трудоемкости и вероятности осуществления. Некоторые оценки трудоемкости доступа к объекту компьютерной системы позволяет получить расширенная модель Take-Grant. Однако в ней предусмотрена возможность либо прямого доступа субъекта к объекту, либо доступа через одного посредника. Хорошо известно, что большинство атак для осуществления несанкционированного доступа требуют привлечения нескольких процессов, активизирующих друг друга.
Таким образом, актуальной является задача построения модели оценки рисков несанкционированного доступа и утечки информации на основе модели Take-Grant с учетом доступа через нескольких посредников.
Целью диссертационной работы ставится совершенствование методик оценки рисков несанкционированного доступа к объектам компьютерной системы и утечки информации с участием нескольких посредников.
Для достижения поставленной цели были решены следующие задачи:
-
Разработана модель оценки рисков несанкционированного доступа с участием нескольких посредников на основе модели Take-Grant.
-
Разработана модель оценки рисков утечки информации с участием нескольких посредников на основе расширенной модели Take-Grant.
-
Разработан и реализован программный комплекс оценки рисков утечки информации с участием нескольких посредников к файлам для операционной системы Windows.
Методы исследования. При решении поставленных задач использовались модели безопасности, элементы теории графов и теории вероятностей. Научная новизна результатов исследования:
-
Разработана новая модель оценки рисков несанкционированного доступа на основе модели Take-Grant, позволяющая учитывать доступ с участием нескольких посредников.
-
Разработана новая модель оценки рисков утечки информации на основе расширенной модели Take-Grant.
Практическая ценность заключается в программной реализации разработанной методики и внедрении ее в деятельность организаций,
осуществляющих оценку рисков несанкционированного доступа в компьютерных системах.
Основные положения, выносимые на защиту:
-
Модель оценки рисков несанкционированного доступа к объектам на основе модели Take-Grant.
-
Модель оценки рисков утечки информации между объектами на основе расширенной модели Take-Grant.
Апробация работы. Основные результаты диссертации докладывались и обсуждались в следующих международных научных конференциях: ХШ международная научная конференция «Решетневские чтения» (Красноярск, 2009), 8-ая международная заочная научно-практическая конференция «Наука на рубеже тысячелетий» (Тамбов, 2011), а также внедрены в деятельность трех организаций
Публикации. По теме диссертации опубликованы восемь научных работ, в том числе две статьи в изданиях из списка, рекомендованного ВАК.
Структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 94 страницы основного текста, 32 рисунков и 20 таблиц. Список литературы включает 95 наименований.
Оценка надежности систем защиты информации
Под надежностью будем понимать свойство системы защиты предотвращать несанкционированный доступ к компьютерной информации в течение заданного промежутка времени[68,69]. Второе важное понятие, отказ системы - это случайное событие, приводящее к невозможности выполнения системой в течение некоторого промежутка времени возложенных на нее функций[70]. Отказ системы защиты - это возникновение канала несанкционированного доступа. Для построения математической модели введем следующие величины:X - интенсивность отказов, то есть среднее число отказов в единицу времени. Данную величину можно рассматривать как интенсивность возникновения каналов несанкционированного доступа. Для заданной системы X определяется статистически. Пусть угрозы взаимно независимы и каждая из них носит катастрофический характер (полный доступ), тогда
Считая, что плотность вероятности возникновения угрозы прямо пропорциональна промежутку времени, получаем вероятность исправной работы системы в течение времени t виде:
Отсюда для среднего времени между отказами (время наработки на отказ) получаем:Интенсивность отказов системы определяется рядом параметров: 1. Сложность исследования механизмов защиты. Зависит от уровня разработки и уровня открытости информации о системе. Можно выделить следующие уровни открытости информации о системе:
1.1. - очень высокая - некоммерческие продукты, свободный доступ кисходным кодам;1.2. - высокая - широко используемые коммерческие продукты;1.3. - низкая - ограничено используемые коммерческие продукты;1.4. - очень низкая - коммерческие продукты, имеющие формализованные правила распространения. 2. Квалификация злоумышленника. Зависит от назначения компьютерной системы и, соответственно, круга лиц, которых интересует, защищаемая информация.3. Временной интервал эксплуатации системы. Чем дольше эксплуатируется система, при учете заделывания обнаруженных «дыр», тем сложнее обнаруживать новые каналы несанкционированного доступа.
Введем некоторые временные характеристики функционирования системы защиты компьютерной системы. Пусть Tv - время восстановления системы после отказа, то есть интервал, в течение которого устраняется канал несанкционированного доступа, обнаруженный в результате отказа системы. Tv зависит от двух других временных характеристик: времени устранения канала несанкционированного доступа Tvl и времени внедрения и настройки новой системы защиты Tv2 . Время восстановления существенно зависит от сложности системы, так как при исправлении необходимо проводить тестирование существующих компонентов.
Исправления же в защитные модули операционных систем, как правило, вносятся после обнаружения ряда ошибок. В период тестирования на ошибки и исправления механизмов защиты система не работоспособна. Введем коэффициент готовности кг, характеризующий долю времени, в течение которого система работоспособна:
Коэффициент готовности также определяет вероятность того, что в произвольный момент времени система работоспособна.На практике общепринятым требованием к надежности системы защиты является значение коэффициента кг =0.99.
Для увеличения надежности используется система резервирования, то есть включение в состав системы защиты дополнительных средств, которые включаются при преодолении злоумышленником основных средств.
По способу реализации системы защиты информации делятся на встроенные и добавочные. Под встроенной понимается система защиты, механизмы которой являются составной неотъемлемой частью операционной системы. Под добавочной понимается система защиты, реализованная как прикладное программное обеспечение, основным функциональным назначением которой является защита информации.
Пусть вероятность безотказной работы системы для встроенных средств ро, а вероятность безотказной работы средств дополнительной защиты/?/. Тогда для всей системы вероятность безотказной работы:
Резервирование приводит к повышению вероятности безотказной работы системы и к снижению требований на время восстановления Tv. Существует три режима резервирования системы защиты дополнительными механизмами защиты:1. Горячий резерв. Основные и резервные механизмы настроены и включены. Такой режим обеспечивает наиболее высокий уровень защиты.2. Активный холодный резерв. Основные и дополнительные механизмы настроены, но включен только основной. В данном случае Tv определяется временем запуска резервных механизмов при отказе основных.3. Пассивный холодный режим. Настроены и запущены только основные средства защиты. Время восстановления определяется настройкой и запуском дополнительных средств защиты. В этом случае значение Tv варьируется от нескольких часов до нескольких дней.
Будем оценивать защищенность системы Z количественно в зависимости от следующих четырех характеристик: См - стоимость защищаемой информации, Р - вероятность взлома системы защиты, Css -стоимость системы защиты, N - производительность системы:Задача построения системы защиты состоит в поиске оптимального значения Zopt=max Z.
Рассмотрим защищенность системы с точки зрения риска. Под риском R будем понимать потенциальные потери от угроз защищенности:С другой стороны риск можно рассматривать как потери в единицу времени:
Стоимость доступа в рамках модели Take-Grant
Пусть граф G определен множеством вершин V и множеством дуг R, соединяющих вершины V. Граф G - ориентирован, не содержит петель, не взвешен.
Отношение инцидентности будем задавать с помощью матрицы смежности Е . А именно, если существует дуга из вершины v, в вершину Vj, то соответствующий элемент матрицы смежности Еу=1, в противном случае Ev=0.
Будем считать, что дуги определяют некоторые взаимодействия или связи между вершинами [79,80]. Поставим себе задачу нахождения не только непосредственных связей между вершинами, но и связи через посредников, то есть более длинные пути [86,88]. Сформулируем более строгую постановку задачи.
Пусть между вершинами v, и у, некоторого графа существует несколько путей длины к. Обозначим количество таких путей черезp y„Vj). В общем случае будем считать, что пути разной длины дают разный вклад в связь двух вершин. Введем соответствующую функцию g(k), которую в дальнейшем будем называть весовой функцией пути. Более точно g(k) показывает вклад в связь вершин пути длиной к.
Введем величину, называемую в дальнейшем силой связности вершин [77] w(v„Vj):Рассматривая граф, как представление влияния элементов множества V друг на друга, можно сказать, что наличие дуги между вершинами показывает прямое влияние, путь длины 2 - влияние через одного посредника, длины 3 - через двух посредников, и так далее длины п - через п-\ посредников. Определим матрицу сил связности вершин М, показывающую взаимное влияние всех вершин графа друг на друга:
Используя алгоритм, предложенный в работе [74] можем записать следующее соотношение:Таким образом, матрица метрической связности М может быть вычислена на основе матрицы смежности Е.
Важным является вопрос выбора функции g(k). Рассмотрим свойства, которым должна удовлетворять эта функция:1. g(l)=l, то есть наличие дуги между двумя вершинами должно давать единичный вклад в силу связности.2. g(k) g(k + \), для всех ке[\, х ). То есть функция g{k) должна быть убывающей.3. g(k) 0, для всех ке[\,со). Наличие путей должно увеличивать силу связности.
Рассмотрим некоторые возможные варианты выбора функции g(k).1 g(k) = а , где 0 а 1. Если а = [0,1J, то в крайних значениях 0 и 1 влияния коэффициента g(k) на общую картину силы связности не будет и необходимо, чтобы передел значения а 1, ибо больше полного вклада любого из дуг в общую картину силы связности быть не может. Функция данного вида была рассмотрена для выявления связных структур методом построения иерархического дерева. Если а = [0,1], то в крайних значениях О и 1 влияния коэффициента g(k) на общую картину силы связности не будет. В этом случае сила связности двух вершин вычисляется по формуле:со Используя выражения для степенных рядов [78,81], запишем матрицу сил связности:
Здесь / - единичная матрица. Коэффициент а имеет двоякий смысл. С одной стороны, он показывает, во сколько раз уменьшается относительное влияние пути при увеличении его длины на единицу. С другой стороны рассмотрим ситуацию, при которой из вершины v, в вершину у, ведет несколько путей одинаковой длины. В частности, если имеется P2(VJ,VJ)=GL путей длины 2, то они дают такой же вклад в силу связности, как и дуга между вершинами. При наличии piiy v a путей длины 3 их вклад будет эквивалентен одному пути длиной 2. Если же имеется / з( у/)=а путей длины 3, то их вклад эквивалентен одной дуге. В общем случае при наличии Pn{vi,vj)=an k путей длины п их вклад будет эквивалентен одному пути длины к. Эти соображения позволяют выбирать коэффициент а из практических соображений.2. g(k) = /k. Сила связности двух вершин будет вычисляться по формуле:
Модель оценки рисков утечки информации на основе дополненной расширенной модели Take-Grant
Правила расширенной модели Take-Grant ограничиваются возможными потоками информации либо непосредственно между двумя объектами, либо с одним промежуточным объектом. Однако в реальных системах с ненулевой вероятностью возможна утечка информации через двух и более объектов посредников. Следует отметить, что чем больше посредников, тем менее вероятна утечка.
В связи с такими ограничениями введем понятие дополненной модели Take-Grant. Моделью для анализа систем дискреционного разграничения доступа Take-Grant будем называть дополненной, отвечающей следующим условиям[9,17,35,36]:1. система разграничения доступа задана с помощью графа доступов G = (S, О, Е u Н) - конечный ориентированный реберно не взвешенный граф без петель, где: S, О - вершины графа G, Е - множество явных прав доступа, Н - множество скрытых прав доступа. Вместе с реальными ребрами мнимые ребра указывают направление информационных потоков в системе;2. определены шесть правил де-факто (правило № 1, правило № 2, post (х, у, z), find (х, у, z), pass (х, у, z), spy (х, у, z))3. правило де-факто могут быть применены к двум и более посредникам между любыми двумя субъектами/объектами в системе, при условии, что все возникающие информационные потоки будут учтены.
Построим алгоритм [31,33,48,87,91] расчета вероятности утечки информации от объекта х к объекту у через к посредников:1. построить граф доступов G;2. на основе графа доступов G построить непомеченный ориентированный граф информационных потоков G,s следующим образом:1. множество вершин Gls совпадает с множеством вершин G;2. если в графе G от вершины v к вершине v присутствует дуга с меткой г, то в графе Gls от v к v ведет дуга;3. если в графе G от вершины v к вершине v присутствует дуга с меткой w, то в графе Gls от v к v ведет дуга;4. если в графе G от вершины v к вершине v присутствует дуга с меткой rw, то в графе GIS от v к v ведет дуга и от v к v ведет дуга.
Дуги графа информационных потоков определяют направления перемещения данных[60,66,72]. Пусть возможность перемещения информации по пути длиной один равна 1, по пути длиной два равна а, по пути длиной три - а2 и так далее. Увеличение пути на одну дугу увеличивает возможность перемещения информации в а раз. Если существуют разные пути, то информация по ним перемещается независимо, и возможности будут складываться;3. для определения общей возможности возникновения каналаутечки информации может быть применена формула[81]:
В данном случае матрица смежности Е записана для графа Gjs. Выберем значение а=0,1 , тогда в элементе матрицы Мч на k-ом месте после запятой будет стоять количество путей длины к. Введем обозначение для к-ой цифры после запятой dk(MtJ). Тогда вероятность утечки по пути длины к может быть найдена как pdk(MlJ\ где р — вероятность утечки по каналу длины один. 4. считая, утечки по разным каналам независимыми событиями можем записать общую вероятность утечки хотя бы по одному из каналов[5,6,24,59]:где: Ру - матрица вероятностей утечки информации между объектами Vj и Vj. Матрицу рисков можем найти по формулегде Cj - стоимость информации хранящейся в объекте Vj.
Для определения стоимости будем использовать подход, при котором стоимость информации пропорциональна количеству информации, хранящейся в объекте. Такой подход оправдан в случае хранения ключевой информации.
Рассмотрим простой пример определения вероятности утечки информации. Рассмотрим пример расчета стоимости доступа для простого случая из четырех субъектов SI, S2, S3 и S4, которые одновременно будут рассматриваться и как объекты, к которым осуществляется доступ, и на основе этого примера рассчитаем риск утечки информации. Такая ситуация вполне реальна, так как субъекты моделируют процессы в операционной системе. Пусть 7 запущен от имени пользователя Userl, S2 от имени User2, S3 от имени User3, S4 от имени User4. Предположим, что списки контроля доступа для них получены с помощью утилиты CACLS [56,57,61] (операционной системы Windows Vista) и выглядят следующим образом, таблица 5: 1. между субъектом S3 и S1 величина метрической связности составляет 2,125, что делает этт канал утечки информации наиболее вероятным;2. очень важным становится канал утечки информации от S3 к S2, так как нет прямой дуги между субъектами, но значение метрической связности равно 1,5, то есть больше, чем при наличии прямого доступа.Rij=CjPij При определении стоимости информации, содержащейся в объекте, применительно к файлу мы будем использовать размер ключевой информации, выраженной в байтах. При определении стоимости информации, содержащейся в объекте, применительно к процессу мы будем использовать размер файла, содержащего данные процесса в байтах [44], таблица 7: 1. В подавляющем количестве нарушений систем безопасности используется доступ через большое количество посредников в связи с отсутствием прямого доступа или с желанием злоумышленника скрыть свои действия. Однако, расширенная модель Take-Grant учитывает связь максимум только через одного посредника, поэтому разработана дополненная расширенная модель Take-Grant, учитывающая утечки информации через неограниченное количество посредников.2. Введение числовой характеристики связности вершин в графе доступов позволило уменьшить количество параметров, необходимых для определения величины риска утечки информации. Несмотря на то, чтопоявилась необходимость определения стоимости и вероятности прямого доступа к исследуемой информации, субъективная составляющая определения величины риска утечки информации существенно уменьшилась. Оба параметра можно определить по статистическим данным или с помощью метода экспертных оценок.3. Разработанная модель оценки рисков утечки информации может быть применена в реально существующих системах безопасности, основанных на дискреционных системах управления доступом.
Описание работы алгоритма для расчета риска утечки информации на примере
Структура локального диска, полученная с помощью встроенной в операционную систему команды «tree /F I:» [41,44], выглядит следующим образом, рисунок 28:
После нажатия на клавишу «Ok» программа проверяет присутствие галки (в нашем случае она стоит). Галка регулирует необходимостью проверки всех подпапок исследуемой папки рекурсивно. Если галка не стоит, тогда все папки нулевого уровня вложенности будут восприниматься как файлы. Программа формирует и сохраняет список всех файлов и папок для данной папки.
Для каждого исполняемого файла из списка запрашивается имя владельца файла или папки и информация о текущих правах доступов с помощью встроенных в операционную систему программ subinacl.exe и icacls.exe соответственно [44,52]. Благодаря тому, что в операционной системе Microsoft Windows Vista существует конечное множество стандартных видов прав доступов[57,58], таблица 10, мы можем сразу представить все существующие права доступов в видах прав расширенной модели Take-Grant [16,19,29,32], таблица 11.
Для перехода к следующему этапу необходимо представить всех исследуемых пользователей и все исследуемые файлы и папки в терминах субъектно-объектной модели [14,38,47,82], таблица 12.
На данном этапе программный комплекс строит матрицу прав доступов, на основе полученных ранее данных [23,39,59,63], таблица 13. На пятом этапе программный комплекс дополняет матрицу прав доступов включением влияния субъектов друг на друга [25], таблица 14, по следующим критериям:1. если текущий субъект является владельцем одного из исполняемыхфайлов, то данный субъект влияет на все субъекты, имеющие любой видправ к данному исполняемому файлу, рисунок 31.2. если текущий субъект имеет права вида «w», то данный субъект влияет навсе субъекты, имеющие любой вид прав к данному исполняемому файлу,рисунок 32.
Понятие влияние необходимо для описания возможности получения прав доступа одного субъекта к другому субъекту путем внесения изменений в файл, даже если он не является исполняемым [92]. То есть Субъект 1 может внести вредоносный код в исполняемый файл и тем самым может нарушить работу другого субъекта, имеющего любой из видов прав доступа (г, w, rw) к данному исполняемому файлу [54].
На данном этапе программный комплекс строит матрицу информационных потоков на основе дополненной матрицы прав доступов [30,47,55], таблица 15, по следующим правилам [73,83,95]:1. на пересечении строк и столбцов может находиться только 1 или О, введение данного правила обусловлено необходимостью знать только о существовании или не существовании информационно потока. соответственно;2. на главной диагонали должны стоять 1, данное правило описывает возможность объекта совершать любые изменения внутри своей сущности;3. если на пересечении і-ой строки и j-ro столбца расширенной матрицы доступов стоит право «г», то в матрице информационных потоков на пересечении j-ой строки и і-го столбца ставится 1. Говорится, что право доступа «г» порождает обратный информационный поток; 4. если на пересечении і-ой строки и j-ro столбца расширенной матрицы доступов стоит право «w», то в матрице информационных потоков на пересечении і-ой строки и j-ro ставится 1. Говорится, что право доступа «w» порождает прямой информационный поток;5. если на пересечении і-ой строки и j-ro столбца расширенной матрицы доступов стоит право «rw», то в матрице информационных потоков на пересечении і-ой строки и j-ro ставится 1 и на пересечении j-ой строки и і-го столбца тоже ставится 1. Говорится, что право доступа «rw» порождает прямой и обратный информационный поток;
Таким образом, матрица информационных потоков достраивается до квадратной по отношению к дополненной матрице прав доступов в результате появления обратных информационных потоков, таблица 15.где: M - матрица метрической связности, к - порядок матрицы информационных потоков, а - коэффициент, показывающий какой вклад в общую картину связности вносит каждая связь, Е - матрица информационных потоков.
Вычисления по формуле происходят до і-го порядка:2. Матрицы вероятностей утечки информации, таблица 17, по формуле:P[i,j] = l-W-Pk)s{k\ к=\где: PfiJJ - элемент матрицы вероятностей, р - вероятность доступа п к-омупути, S(k) - количество путей длины к. Для расчетов матрицы вероятностейутечки информации используется матрица метрической связности.
Вероятность доступа по k-ому пути/? равна 0,0005 Таблица 17. Матрица вероятностей доступа при/? = 0,0005.3. Матрицы рисков утечки информации, таблица 20, на основе матрицы вероятностей по формуле:где Cj - стоимость информации хранящейся в объекте v,.Для определения стоимости информации программный комплекс собираетинформацию о размерах объектов [21,44], таблица 18.
